株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > CrowdStrike > 簡単!CrowdStrike Falconセンサーのインストール(Linux編)

簡単!CrowdStrike Falconセンサーのインストール(Linux編)

CrowdStrike Security

はじめに

前回はWindowsへの基本のインストール方法をご紹介しました。今回はLinuxのインストールについてまとめていきます!

blogs.networld.co.jp

なお、それぞれ1記事完結にしたほうが良いと思うので、内容は使いまわし再掲している部分もありますがご了承ください!

ちなみに、基本的なインストール方法は実はSecureBoot環境へのインストール記事でも書かれています。該当する環境であればこちらの記事を読むだけでOKです!

blogs.networld.co.jp

また、記事の執筆にあたってOSはRedHat系(RedHat Enterprise Linux 8.8)を利用しています。

画面などはちょっと違うかもしれませんが、Debian系のコマンドも併記するので参考にしてください!

インストール準備

まずはシステム要件をまとめます。
細かい要件はサポートサイトで最新の情報をご確認ください。

  • 対応OS:Amazon Linux, CentOS, Debian, Oracle Linux, Red Hat Enterprisenterprise Linux, Rocky Linux, SUSE Linux, Ubuntu……など
    • 要件の確認にはカーネルバージョンも必要です。
    • CPUアーキテクチャもご確認ください。サポート状況が異なる場合があります。

    • Linuxセンサーの動作モードにはユーザーモードとカーネルモードがあります。デフォルトはユーザーモードですが、提供される保護機能は原則として同じです。

  • サービス要件:特になし
    • 既存のアンチウイルス製品がある場合は競合させないよう留意してください
  • ハードウェア要件:オペレーティングシステムで求められる要件に準拠
  • ネットワーク要件:インターネット(またはCrowdStrikeクラウド)との接続
    • ポート:443(送信のみ)
    • 接続先:CrowdStrikeクラウド(詳細はサポートサイトをご確認ください)

インストール手順

ステップ1: Falconセンサーインストーラーのダウンロード

インストーラーファイルはFalcon UI(CrowdStrikeコンソール)からダウンロード可能です。すべてのユーザーが各自Falcon UIからダウンロードする必要はありません。

  1. Falcon UIにログインします。ログインにはFalconユーザーアカウントが必要です。
  2. センサーダウンロード]ページに移動します。

    メニューアイコン > ホストのセットアップおよび管理 > センサーダウンロード
  3. 「インストール時に入力するカスタマーID」をコピーします。

    このカスタマーIDによって端末とお客様環境を紐づけます
    管理にはご注意ください
  4. OSを確認し、[ダウンロード]をクリックしてインストーラーをダウンロードします。

    トップページには最新バージョンのインストーラーが表示されています
    [旧バージョン]のリンクから過去のバージョンもダウンロード可能です


  5. 必要に応じてファイルを任意のディレクトリに移動します。

ステップ2: インストーラの起動とインストールの実行

基本的にはインストーラーを実行するだけでインストールできます。所要時間は環境により異なりますが、数分程度が目安です。

    1. ダウンロードしたインストーラーファイルを実行します。
      $ cd /download # インストーラーを配置したディレクトリ 
      $ sudo yum install ./falcon-sensor-XXXXXX.rpm # インストールファイル名
      Debian系の場合はsudo dpkg -i ./falcon-sensor-XXXXXX.rpmとなります。
    2. カスタマーIDを指定します。
      $ sudo /opt/CrowdStrike/falconctl -s --cid=123ABCXXXXXX # 先ほどコピーしたカスタマーID

    3. センサーを起動します。

      $ sudo systemctl start falcon-sensor

      SysVinitを使用している端末ではsudo service falcon-sensor startとなります。

ステップ3: インストール後の確認

センサーが正常に稼働し、きちんと通信できているかどうかはFalcon UIから確認できます。

  1. Falcon UIにログインします。
  2. ホストの管理]に移動します。

    メニューアイコン > ホストのセットアップおよび管理 > ホストの管理
  3. 一覧から探すか、[すべてのフィールドを検索]でホスト名を入力して該当の端末を検索します。見つけたら行をクリックして詳細画面を表示します。

    フィルターなどで絞り込むこともできます
  4. ホストのステータスが「オンライン」になっていれば正常に通信ができており、RFMが「No」になっていればセンサーが機能制限なく稼働しています。

     

おまけのFAQ

Q1. インストール時に使えるオプションはありますか?

特にありません。CIDの指定などはセンサーのインストール後に追加で設定します。

Q2. ユーザーモードとカーネルモードはどちらが良いですか?

ユーザーモードのほうが推奨となります。

最近のバージョン(7.15以降)ではデフォルトの稼働モードがユーザーモードになっているためです。
デフォルトがユーザーモードになった理由として、インストールや運用の簡素化、安定化が挙げられています。選べるのであればユーザーモードのほうがユーザー目線でも製品目線でもお互い扱いやすい…というイメージです。

ただ、提供される検出機能や防御機能には差がありませんので、どちらでも問題はありません。

Q3. RFMのままでも運用できますか?

センサーがユーザーモードでもカーネルモードでも稼働できない場合、RFM(機能制限モード)になることがあります。Linuxの場合、RFMではほとんどの保護機能が動いていない状態となるため、解除状態での運用を強く推奨します。

インストール手順内ではFalcon UIからの確認方法を載せましたが、それぞれの端末からコマンドで確認することも可能です。

 $ sudo /opt/CrowdStrike/falconctl -g --rfm-state

返ってきた結果が「rfm-state=false」であればRFMは無効=保護機能が正常に働いている状態です。
ちなみに、RFMの理由は--rfm-reason--rfm-historyオプションで確認できます。

Q4. センサーのインストール後、OSの再起動は必要ですか?

再起動は不要です。

Q5. センサーが稼働しているかどうかはLinuxホストから確認できますか?

コマンドを利用して確認できます。

コマンドと出力例:

   $ sudo ps -e | grep falcon-sensor
     793 ?        00:13:38 falcon-sensor

まとめ

過去のFalcon センサーインストール関連記事もまとめておきます。

blogs.networld.co.jp

 

ありがとうございました!

 

サムネイル